マイクロソフトは5月15日,「Internet Information Server 4.0/Services 5.0(以下,IIS)」のセキュリティ・ホールを公表した。URLとしてある特定のリクエストが送られると,IISサーバー上で任意のOSコマンドを実行される恐れがあるという深刻なものである。OSコマンドをある特定の文字列と組み合わせてIISに要求すると,IISはコマンドをシステム・フォルダ(例えば「winnet\system32」)の「CMD.EXE(コマンド・インタプリタ)」へ渡し,CMD.EXEがサーバー上でそのコマンドを実行してしまうのだという。
同社はセキュリティ・ホール情報と同時に日本語版用パッチも公開した。今回公開されたパッチは特別で,過去のパッチ内容をすべて(IIS 4.0の場合は Windows NT 4.0 Service Pack 5以降)含んでいる。そのため,今回のセキュリティ・ホールだけではなく,過去に公開されたIISのセキュリティ・ホールの多くをふさぐことが可能だ。管理者は早急に適用する必要がある。
IISサーバー上で任意のOSコマンドを実行可能
今回のセキュリティ・ホールは過去に何度も警告されている「(MS00-086)『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」と同じように深刻である。攻撃方法や攻撃によって受ける影響もほぼ同じである。
通常,IISに対するリクエストのうち,公開用フォルダ以外(例えばシステム・フォルダ)へアクセスするようなものはチェックされて拒否される。だが,今回のセキュリティ・ホールは,文字列を“工夫”することでそのチェックをすり抜けられるというものだ。IISは,システム・フォルダ内のCMD.EXEへのリクエストではなく,scriptsフォルダ内のサーバー・サイド実行プログラム(例えばCGIスクリプト)への“正規な”リクエストと判断して処理を続けてしまうのである。
このとき,攻撃者は Windows NT/2000の組み込みアカウントである「IUSER_マシン名」の権限で,コマンドを実行したりファイルにアクセスできる。「IUSER_マシン名」とは,IISにアクセスしたユーザーが Webページを閲覧するために必要なアカウントである。すべての操作が可能なAdministrator(管理者)権限が奪われることはない。
とはいうものの,通常「IUSER_マシン名」権限でも(1)サーバー上のファイルの削除や変更,(2)任意のファイルのアップロードと実行,(3)ハード・ディスクのフォーマット---などは可能である。また,「IUSER_マシン名」での権限を悪用してさらに攻撃することで,Administrator権限が奪われてしまう恐れもある。管理者はパッチを適用して対策をとる必要がある。
またマイクロソフトは,上記以外の2種類のセキュリティ・ホールについても,同時に公表した。いずれも,IISのFTPサービスに関するセキュリティ・ホールで,(1)特定のコマンドを入力されるとIISをダウンさせられる,(2)FTPサービスのGuestアカウントを推測しやすくする---というものである。任意のコマンドを実行するようなことはできないので,冒頭のセキュリティ・ホールほど影響は大きくない。今回のパッチを適用すれば,これらのセキュリティ・ホールもふさぐことができる。
過去のホールもすべてふさぐ---,ただし過信は禁物
同社が今回公開したパッチを適用すれば,今回公表されたセキュリティ・ホールだけではなく,以前公開されたパッチ(MS00-060,MS01-014,MS01-016)の不具合も修正できる。加えて通常のパッチと異なり,今回のパッチには(1)IIS 4.0の場合は Windows NT 4.0 Service Pack 5以降に公開されたIIS関連のセキュリティ・パッチ,(2)IIS 5.0の場合は過去に公開されたIISのセキュリティ・パッチすべて---が含まれる。
ただし,過信は禁物である。このパッチを適用しても,ぜい弱性がまったくなくなるわけではないからだ。マイクロソフトの公開情報に記載されているように,管理者が設定変更などをしないとふさげないセキュリティ・ホールが存在する(MS00-028,MS00-025,MS99-025,MS99-013 )。特にMS99-025の「MDAC(マイクロソフト・データ・アクセス・コンポーネント)のぜい弱性」には注意する必要がある([関連記事])。また,「Internet Information Server 4.0 セキュリティ チェックリスト」や「Internet Information Services 5 セキュリティのチェックリスト」などを参考に適切に設定する必要もある。
さらに,今回のパッチはIISだけが対象である。「Front Page Server Extensions」や「Index Server」などのセキュリティ・ホール(MS01-025,MS00-084,MS00-006)をふさぐこともできないことを認識しておくべきである。
なお,IIS 4.0のパッチは,Windows NT 4.0 Service Pack 5 または 6a に,IIS 5.0のパッチは Windows 2000 あるいは Windows 2000 Service Pack 1 に適用する。
■(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される
□Microsoft IIS 4.0用パッチ
□Microsoft IIS 5.0用パッチ
■(MS01-026)「Superfluous Decoding Operation Could Allow Command Execution via IIS」
■NSFOCUS Security Advisory(SA2001-02)「Topic: Microsoft IIS CGI Filename Decode Error Vulnerability」
■CERT Advisory CA-2001-12「Superfluous Decoding Vulnerability in IIS」
【過去に公開されたIISの“深刻な”セキュリティ・ホール*1 】*2
■(MS01-023)ISAPI エクステンションの未チェックのバッファにより IIS 5.0 サーバーのセキュリティが侵害される[関連記事:「IIS 5.0の深刻なセキュリティ・ホールを解説する」]
[関連記事:「Windows 2000のIIS 5.0に,外部からプログラムを実行されるセキュリティ・ホール」]
■(MS00-086)「Web サーバーによるファイル要求の解析」のぜい弱性に対する対策
[関連記事:「【解説】IISの日本語版対応パッチがようやく公開」]
■(MS00-078)「Web サーバー フォルダへの侵入」のぜい弱性に対する対策
[関連記事:「IISに重大なセキュリティ・ホール,Web管理者は今すぐパッチの適用を」]
*1:ここで「深刻なセキュリティ・ホール」とは,(1)リモートから攻撃が可能,(2)任意のコマンドが実行できる,(3)攻撃が容易あるいは攻撃(検証)用のプログラムが出回っている---以上の条件を満たすセキュリティ・ホールを指している。
*2:今回公開されたパッチを適用すれば,これらのセキュリティ・ホールをすべてふさぐことができる。
